Les escroqueries par hameçonnage et tendances 2022

Avec de plus en plus de personnes vivant leur vie numériquement – et nous ne parlons pas des influenceurs – vos données doivent être protégées. Avec des innovations technologiques constantes, vous pouvez acheter un nouvel iPhone et utiliser un VPN pour diffuser des émissions de télévision pendant votre trajet. Ou au bureau. Nous ne sommes pas la police de la productivité. Ce que nous sommes, c’est un groupe d’accros à la technologie qui veulent vous aider à éviter les escroqueries par hameçonnage.

Qu’est-ce que l’hameçonnage ?

À ne pas confondre avec ce que vous feriez lors d’un long week-end au bord du lac, la définition officielle de l’hameçonnage est la pratique frauduleuse consistant à contacter des personnes par e-mail, téléphone ou SMS tout en se faisant passer pour un employé d’une entreprise réputée et en demandant des informations personnelles. . Ces informations peuvent aller des mots de passe aux numéros de carte de crédit.

Rien qu’en 2022, nous avons vu plusieurs émissions de télévision et documentaires sur les escrocs d’autrefois, c’est-à-dire la pré-pandémie. WeCrashed d’Apple TV+ (le scandale WeWork), Inventing Anna de Netflix (la fausse héritière qui a volé un jet privé) et The Tinder Swindler (l’histoire d’un faux héritier de diamants), et The Dropout de Hulu (la saga de la sanguinaire Elizabeth Holmes ), tous présentent une image de paillettes et de glamour. En réalité, si vous êtes victime d’une escroquerie par hameçonnage, il n’y a pas de film ou d’émission de télévision dans votre avenir, juste une perte de données précieuses et, dans les cas graves, de l’argent.

Exemples courants d’hameçonnage

Bien que la plupart d’entre nous supposent que nous ne serons jamais victimes d’une arnaque, les escrocs en ligne perfectionnent leur art depuis des années. Ils veulent que vous vous trompiez et que vous divulguiez les détails privés de votre vie. Internet est leur terrain de jeu et malheureusement, ils sont venus jouer.

Il existe plus d’un type d’hameçonnage dont ces personnes peu scrupuleuses veulent que vous soyez la proie :

  1. Hameçonnage par e-mail – e-mails reçus qui semblent provenir d’une organisation/entreprise/personne réputée
  2. Whale phishing, Whaling ou CEO phishing – communications malveillantes qui semblent provenir du PDG ou de cadres supérieurs de l’entreprise dans laquelle vous travaillez
  3. Spear phishing – e-mails qui semblent être pertinents par rapport à vos intérêts (événements actuels, offres d’achat, etc.)
  4. Angler phishing – une attaque sur les réseaux sociaux où les escrocs se font passer pour des représentants du service client d’entreprises réputées
  5. Smishing et vishing – Également connus sous le nom de SMS-phishing et Voice phishing, il s’agit de messages texte ou vocaux d’escrocs prétendant provenir d’entreprises respectables.
  6. Escroquerie d’application de paiement peer to peer (P2P) – demande de l’argent à ce qui semble provenir d’une application P2P réputée
  7. Escroqueries à l’investissement en crypto -monnaie – conseils d’investissement et e-mails provenant de fausses agences de crypto
  8. Menaces de jeu – communications violentes reçues lors de jeux en ligne qui concernent votre cybersécurité
  9. Liens malveillants – URL intégrées dans les e-mails, les SMS et les sites Web frauduleux qui téléchargent des logiciels malveillants directement sur votre appareil dès que vous cliquez dessus
  10. Escroqueries amoureuses – lorsque vous parlez à quelqu’un sur une application de rencontres qui a pris une fausse identité et demande de l’argent (comme la pêche au chat mais avec des ramifications financières)
  11. Hameçonnage W2 – communications destinées aux services des ressources humaines et de la comptabilité d’une entreprise qui exigent des informations financières
  12. Doxxing – lorsque vous saisissez des informations personnelles via un lien de phishing et que les pirates publient (et militarisent) des données privées en publiant votre nom complet, votre adresse personnelle et d’autres informations personnelles sans votre permission

Méfiez-vous des escrocs

Achetez maintenant, payez plus tardSans les protocoles d’identification appropriés, les fraudeurs profiteront des entreprises et des acheteurs qui proposent BNPL.
Logiciels de rançon590 millions de dollars d’escroqueries liées aux ransomwares ont été signalées au cours des 6 premiers mois de 2021.
Abus numérique envers les personnes âgéesCovid-19 a forcé de nombreuses personnes âgées en ligne à acheter des produits d’épicerie, à planifier des rendez-vous et à discuter par vidéo avec leur famille, donnant aux fraudeurs une chance encore meilleure de voler leur identité.
Mauvais romanLe FBI a découvert qu’entre janvier et juillet 2021, environ 133 millions de dollars d’escroquerie étaient dus à des rencontres/romances en ligne.
Fraude cryptographiqueMéfiez-vous des investissements en devises numériques qui semblent trop beaux pour être vrais. 7 000 personnes ont déclaré des pertes de 80 millions de dollars entre octobre 2020 et mars 2021.

Comment prévenir les attaques de phishing

Afin d’empêcher les escrocs d’obtenir nos mots de passe, notre argent et nos données privées au travail, les entreprises peuvent mettre en place des mesures de protection pour leurs employés.

  • Secure Email Gateway : un appareil ou un logiciel utilisé pour surveiller les e-mails envoyés et reçus.
  • Cloud Email Security : solutions de sécurité conçues pour prévenir les escroqueries par hameçonnage.
  • Formation de sensibilisation à la sécurité : les initiatives de l’entreprise qui enseignent au personnel comment repérer les e-mails de phishing et éviter les liens ou les pièces jointes qui semblent suspects (y compris des exercices de phishing et d’autres formations en temps réel qui simulent une attaque réelle garderont les utilisateurs attentifs à la fraude).
  • L’installation de technologies de sécurité  telles que les filtres anti-hameçonnage sur les applications de messagerie et les navigateurs Web réduira les tentatives d’hameçonnage, et les bloqueurs de fenêtres contextuelles peuvent aider à arrêter un autre outil couramment utilisé par les fraudeurs.
  • Mettez à jour tous les postes de travail et appareils avec les derniers logiciels et assurez-vous que tous les correctifs et mises à jour logiciels sont installés dès leur sortie. Assurez-vous que les systèmes d’exploitation de tous les appareils sont à jour avec la dernière version.
  • Pensez à l’automatisation . De nouveaux outils alimentés par l’intelligence artificielle et l’apprentissage automatique peuvent filtrer les e-mails en recherchant des modèles révélateurs de fraude.
READ  Comment améliorer le contrôle de votre vie privée

Prédictions d’hameçonnage futures : à quoi s’attendre en 2022

Quelques statistiques et tendances alarmantes en matière de phishing montrent que cette menace ne diminue pas.

  • Selon Osterman Research , seulement 16 % des entreprises ont survécu l’année écoulée sans avoir connu au moins un incident de phishing ou de ransomware  .
  • De nombreuses organisations ont subi plusieurs attaques l’année dernière et 70 % s’attendent à ce que leur activité soit perturbée cette année par une menace de cybersécurité transmise par courrier électronique en 2022.
  • Par un décompte, janvier 2021 a battu des records mensuels de statistiques de phishing dans le monde, avec 245 771 attaques signalées au groupe de travail anti-phishing (APWG).
  • Les défenseurs rattrapent toujours les méchants. Dans le rapport Osterman, seulement 45 % des personnes interrogées étaient convaincues que tous les employés de leur organisation pouvaient reconnaître les e-mails de phishing, mais leur confiance est tombée à 34 % lorsqu’on les a interrogés sur leur capacité à détecter le smishing, le vishing, les applications malveillantes et les publicités pop-up malveillantes. en ligne.
phishing statistiques sur le phishing d'entreprise

Sites d’achat contrefaits

Les vacances consistent à passer du temps avec des êtres chers et bien sûr à acheter des cadeaux. Cependant, de faux sites commerciaux apparaissent comme des cheveux gris. Vous pouvez couvrir les gris avec de la teinture, mais ils se cachent toujours en dessous. Et comme un travail de teinture professionnel, certains des sites contrefaits semblent si légitimes qu’il est difficile de dire lesquels sont des arnaques et lesquels sont réels. Un site contrefait peut apparaître en haut des résultats du moteur de recherche Google. Nous vous suggérons donc de vérifier l’URL et les avis de tout site sur lequel vous effectuez des achats avant d’effectuer un achat. 

Échange de carte SIM

L’échange de carte SIM est une nouvelle façon sournoise de contourner votre authentification en deux étapes pour les services bancaires mobiles. Les mauvaises personnes appellent votre opérateur de téléphonie mobile, prétendent qu’elles sont vous pour que votre numéro de téléphone soit transféré sur leur téléphone. Cela leur permet de voler votre mot de passe mais d’avoir le numéro de téléphone pour vaincre l’authentification à double facteur.

Quels secteurs sont à risque ?

Soins de santéLes cybercriminels adorent voler des dossiers médicaux et les garder en otage. Récupérer un seul enregistrement perdu/volé peut coûter jusqu’à 408 USD.
FabricationLes logiciels malveillants comme les voleurs de mots de passe sont aux criminels ce que l’air est au reste d’entre nous – ils les maintiennent en vie. Près de 25 % des activités hostiles dans l’industrie manufacturière sont liées à la reconnaissance (c’est-à-dire au vol de données sensibles).
FinanceL’inclusion de fichiers locaux (52 %), les attaques par injection SQL (33 %) et les attaques de scripts intersites (9 %) constituent les 3 principales menaces qui affligent le secteur financier.
ÉducationEn 2020, le rançongiciel moyen sur les établissements d’enseignement supérieur était de 447 000 $. Depuis 2021, les hackers ont un nouvel objectif : extorquer des institutions scientifiques pour avoir accès aux données de recherche sur les vaccins.

Le coût de la cybercriminalité

Selon le rédacteur en chef de Cybercrime Magazine, Steve Morgan, le coût du phishing et d’autres comportements dangereux en ligne nous coûtera à l’échelle mondiale. En 2021, les dommages causés par ces crimes se sont élevés à environ 6 billions de dollars américains. Cela devrait grimper à 10,5 billions de dollars par an d’ici 2025. C’est un bond majeur par rapport aux 3 billions de dollars de dommages signalés en 2015.

cybercriminalité statistiques sur le coût de la cybercriminalité

Qui se fait hameçonner ?

Les escrocs ne font pas de discrimination. Ils ne voient pas la race, le revenu ou l’emplacement. Tout ce qu’ils voient, ce sont des signes dollar potentiels. Cependant, l’American Journal of Public Health estime que 5 % de la population âgée (environ 2 à 3 millions de personnes) sont victimes d’escroqueries par hameçonnage chaque année.

READ  Comment sécuriser vos données avec Veracrypt

Pourquoi les 65 ans et plus sont-ils une cible si facile ? Vous n’avez pas besoin d’être dans votre âge d’or pour comprendre l’isolement. Si la pandémie nous a appris quelque chose, outre l’efficacité des vaccins, être seul pendant de longues périodes est carrément nul. La solitude, l’isolement et l’incapacité de faire ce que vous aimiez autrefois peuvent avoir un impact sur notre psychisme et, à leur tour, nous devenons vulnérables aux escroqueries.

À votre grand-mère vieillissante, un e-mail qui semble provenir de vous va être ouvert. Vous lui manquez ! Au moment où grand-mère se rend compte que vous n’avez pas envoyé l’e-mail demandant de l’argent pour acheter une nouvelle voiture, il est trop tard : les escrocs ont déjà volé ses données personnelles et peuvent les utiliser pour usurper son identité. Ils ouvriront des cartes de crédit à son nom et les utiliseront au maximum plus vite que vous ne pouvez dire : « Grand-mère, n’ouvre pas cet e-mail !

Un autre facteur utilisé par les méchants pour obtenir l’argent de vos grands-parents est l’angle d’embarras. Les escrocs savent que les personnes âgées sont moins susceptibles d’intenter une action en justice après avoir été victimes d’hameçonnage parce qu’elles ont honte d’avoir été dupées.

Phishing pour votre identité

En parlant de l’identité de grand-mère, selon la Federal Trade Commission, les États avec le plus grand nombre d’usurpations d’identité au cours de la première année de la pandémie sont :

Californie147 382
Illinois135 038
Texas134 788
Floride101 367
Géorgie69 487

La Californie et l’Illinois ont des gouverneurs démocrates, tandis que le Texas, la Floride et la Géorgie sont dirigés par des républicains. Comme nous l’avons dit, les escrocs ne font pas de discrimination. Peu importe comment vous votez ou pour qui vous votez, ils trouveront un moyen de vous avoir.

Types d’escroqueries que vos grands-parents peuvent rencontrer

Outre le vol d’identité, dites aux membres les plus âgés de votre famille de faire attention à :

  • Gagner des tirages au sort/loteries/vacances gratuites : grand-
    père reçoit un e-mail, un SMS ou voit une fenêtre contextuelle sur son site de chasse préféré pour une loterie ou une croisière. Il ne se souvient pas s’il a entré ou non (il ne l’a pas fait) alors il clique et est incité à saisir ses informations bancaires ou à virer de l’argent. Désolé grand-père, mais les seuls à naviguer sont les escrocs qui ont utilisé votre argent pour acheter une Porsche.
  • Médicaments sur ordonnance contrefaits :
    Nous voulons tous payer moins pour des services médicaux. Mais, pour votre tante May de 78 ans, qui souffre de diabète, une offre pour obtenir des médicaments sur ordonnance moins chers (ou même gratuits) lui convient parfaitement. Elle clique sur le lien et bam, l’escroc a ses coordonnées personnelles. Dans les cas graves, les escrocs peuvent en fait envoyer à votre tante une bouteille de pilules qui ressemblent à la vraie affaire pour continuer la mascarade.
  • Faux swag anti-âge :
    Tonton Ronnie a des rides et n’est plus aussi beau qu’avant. Il voit un e-mail ou une publicité pour une crème anti-rides spécialement conçue pour les hommes. Que se passe-t-il lorsqu’il clique dessus et télécharge le bon de commande ? Il a encore plus de rides, cette fois à cause du stress d’avoir des logiciels malveillants installés sans le savoir sur son ordinateur portable.
  • Sugar Babies :
    Nous n’émettons aucun jugement pour ceux qui utilisent ces services pour maintenir une relation consensuelle de paiement pour le plaisir. Mais méfiez-vous, ces sites sont parfaits pour que les hameçonneurs se présentent comme de vraies personnes qui recherchent de l’argent en échange de lieux de rencontre NSFW. Pour votre oncle Milton, récemment veuf et sans méfiance, recevoir un message de ce qu’il suppose être une gentille dame à la recherche d’une connexion est le remontant dont il avait besoin. Cette gentille dame n’est peut-être pas du tout une dame et au moment où Milty lui a envoyé 500 $ pour acheter une nouvelle robe pour leur premier rendez-vous, il a non seulement de l’argent, mais aussi ses informations privées.
  • Escroqueries à l’emploi :
    celle-ci s’adresse à tous les baby-boomers qui ont pris leur retraite et réalisé que travailler leur manquait. Les escroqueries à l’emploi promettent des emplois qui n’existent pas. L’entreprise a l’air réputée – après tout, elle a un site Web ! – mais en fait, ils ne sont pas réels. Certains escrocs iront même jusqu’à organiser des “entretiens d’embauche” avec de nouveaux retraités pour préserver les apparences. Après l’entretien, ils vous embauchent et vous font remplir des formulaires RH.

Développer un profil criminel pour les hameçonneurs

Il est important de comprendre la victimologie derrière le phishing. Pourtant, ce n’est que la moitié du travail. Pour arrêter un hameçonneur, vous devez penser comme un hameçonneur. Qui sont-ils? Quel est le motif de leurs crimes de phishing ?

Il s’avère que le phishing est l’évolution du  phreaking . Phreaking était le nom donné aux pirates des télécommunications. Les hameçonneurs ne sont que les représailles cyberpunk des usurpateurs d’identité classiques. Si nous nous concentrons sur cela, nous pouvons former un profil criminel qui aidera à mieux comprendre la motivation derrière les hameçonneurs.

READ  Comment améliorer le contrôle de votre vie privée

Le ministère américain de la Justice a passé des décennies à explorer et à développer des profils criminels pour les voleurs d’identité en général.

De même, le Centre pour la gestion de l’identité et la protection de l’information a dressé le profil des données de cas fédéraux de 2008 à 2013 étudiant le vol d’identité , publiées en 2015.

Les hameçonneurs en chiffres (ce que nous dit l’étude) : 

  • 7 % des auteurs d’un vol d’identité en 2007 avaient entre 25 et 34 ans
  • 7% des délinquants observés dans cette étude étaient des résidents légaux nés aux États-Unis
  • Seuls 6,1 % des voleurs d’identité à cette époque étaient des étrangers en situation irrégulière
  • Un tiers des voleurs d’identité étaient des femmes, ce qui signifie que les hommes prédominaient dans les statistiques sur les voleurs d’identité en 2007
  • Plus de voleurs d’identité opèrent dans le cadre d’un réseau d’escrocs que comme une seule personne
  • Les escroqueries par hameçonnage ont un taux plus élevé de cibles individuelles en raison de l’amélioration de l’accès à Internet au fil des ans, permettant aux escrocs de rechercher une personne au sein d’une entreprise dont la compromission entraînerait toute l’entité dans l’escroquerie.
  • Souvent, les usurpations d’identité étaient une équipe mari/femme
  • Les groupes qui se sont livrés à des attaques d’identité de type hameçonnage dans cette étude ont organisé des réseaux de fraude d’acheteurs
  • Souvent, les victimes de vol d’identité étaient des étrangers au voleur, mais la mise à jour de 2015 de cette étude a montré que souvent la relation entre l’auteur et la victime était client et client.

Nous savons d’après ce rapport que ces personnes agissent souvent comme une cellule d’initiés. Ils profitent de l’esquive du gouvernement et de l’exploitation de cibles faciles.

Leçons de phishing des pirates eux-mêmes

Donc, maintenant nous avons une attaque de victimologie assez solide. Nous connaissons les personnes exactes dont nous avons besoin pour entraîner des poids lourds pour ces incidents. Nous savons également quels groupes de discussion doivent être surveillés et filtrés le plus contre les menaces internes.

Maintenant, cela pourrait aider à créer une méthodologie criminelle pour les attaques elles-mêmes. Quelle est la répartition exacte d’une escroquerie par hameçonnage ? Nous avons étudié les méthodes enseignées par  Pentest Geek , un groupe de piratage éthique qui utilise des scénarios et des simulations de piratage pour agir comme un exercice d’incendie pour les équipes commerciales. Ils ont un guide complet du processus d’attaque de phishing qui a été publié le 18 septembre 2019.

Le processus étape par étape pour une attaque de phishing courante ressemble à ceci : 

  1. Énumérer les adresses e-mail 
    Les pirates déterminent à qui ils veulent envoyer leurs e-mails sommaires en utilisant un service comme Jigsaw.com. Ce service permet involontairement aux hameçonneurs d’accéder automatiquement à des données qu’ils peuvent ensuite exporter vers des fichiers CSV.
  2. Éviter les systèmes antivirus
    Le phisher va étudier votre système antivirus comme un aspirant avocat qui se prépare pour les LSAT. Ils apprendront à quel système ils ont affaire et trouveront un point faible.
  3. Utilisation du filtrage de sortie
    Il est temps pour le phisher de choisir une charge utile ! Certains des favoris sont reverse_https ou reverse_tcp_all_ports et reverse_tcp_all_port. Ceux-ci agissent comme des écoutes téléphoniques en écoutant sur un seul port TCP. Ensuite, le système d’exploitation redirige toutes les connexions entrantes sur tous les ports vers le port « d’écoute ». Les systèmes de prévention des intrusions ont du mal à détecter la présence malveillante car cela ressemble à du trafic HTTPS normal.
  4. Choisissez un scénario d’hameçonnage par e-mail
    Le pirate trouvera un modèle et un scénario qui fonctionneront comme un leurre parfait pour les e-mails en ciblant les rôles de gestion des informations d’identification comme les RH ou la finance. Ils publieront des e-mails qui semblent provenir du réseau bancaire des entreprises. Ces e-mails seront étiquetés comme des rapports “urgents” qui nécessitent l’attention immédiate de la victime.
  5. Contourner les serveurs proxy Web
    Les pirates identifieront alors les serveurs proxy Web que leur victime cible utilise. Le serveur proxy Web empêchera le réseau de l’entreprise de visiter certains sites. Certains de ces systèmes sont même équipés d’une protection antivirus. Cela signifie que le serveur proxy Web peut empêcher la victime de télécharger l’exécutable que l’hameçonneur a envoyé. Le phisher devra trouver un moyen de contourner cela pour obtenir ce qu’il veut en achetant un certificat SSL valide pour le site malveillant.
  6. Envoyez les messages de phishing
    Spoofs sur vous ! Les pirates peuvent usurper un e-mail ou ils peuvent acheter un vrai domaine pour rendre la ruse encore plus convaincante. Le pirate ira ensuite dans le code de son compte de messagerie nouvellement créé et modifiera toutes les informations d’identification “Qui est”. Ils utiliseront ce code pour exécuter une routine d’imposteur convaincante sur le Web pour leur escroquerie par hameçonnage. Ils devront effectuer une vérification de correspondance avec le site Web qu’ils veulent imposter pour s’assurer que tout reflète légitimement. Cela doit avoir l’air aussi réel que possible.

L’avenir de l’hameçonnage

La fraude publicitaire numérique se lève comme le soleil du matin. L’industrie de la publicité perd actuellement environ 51 millions de dollars par jour à cause de la fraude publicitaire. Ce nombre devrait augmenter de 100 milliards de dollars par an selon Bloomberg .

Outre les statistiques ci-dessus, les prévisions de phishing semblent sombres :

  • D’ici 2031, les rançongiciels coûteront aux victimes environ 265 milliards de dollars par an.
  • En 2021, on estime qu’une organisation subit un ransomware toutes les 11 secondes. D’ici 2031, ces attaques devraient se produire toutes les deux secondes.
statistiques d'hameçonnage sur l'avenir de l'hameçonnage

Réflexions finales : Phish n’est pas What’s for Dinner

L’hameçonnage ne va nulle part de sitôt, car la fraude à l’information est là pour rester. C’est un peu dommage mais néanmoins une équipe bien entraînée n’a pas grand chose à craindre.

Vous pouvez protéger vos données personnelles avec un réseau privé virtuel (VPN) lorsque vous naviguez en ligne. Bien que vous ne puissiez pas le faire sur votre lieu de travail, vous pouvez utiliser un VPN sur vos appareils personnels pour vous assurer que vos données sont protégées. De plus, l’authentification à deux facteurs (2FA) est essentielle. Vous devez activer 2FA sur tout appareil ou service nécessitant une connexion.

Nous vous suggérons également de contacter votre service informatique si vous êtes concerné par des violations de données liées au travail. En ce qui concerne vos données personnelles, NE CLIQUEZ PAS SUR DES LIENS SUPPOSÉS. Si quelque chose semble trop beau pour être vrai, c’est le cas. 


Ressource :

https://aginginplace.org/internet-scams-affecting-elderly/

https://Experian.com

https://www.comparitech.com/antivirus/ransomware-statistics/

5/5 - (1 vote)
SAKHRI Mohamed
SAKHRI Mohamed

Le blog d'un passionné d'informatique qui partage des actualités, des tutoriels, des astuces, des outils en ligne et des logiciels pour Windows, macOS, Linux, Web designer et jeux vidéo.

Publications: 3747

Laisser un commentaire

Your email address will not be published.